Bedreigingsactoren proberen actief misbruik te maken van een kritiek beveiligingslek in de WP-Automatic plug-in voor WordPress, waardoor site-overnames mogelijk zouden kunnen zijn.
De tekortkoming, bijgehouden als CVE-2024-27956heeft een CVSS-score van 9,9 uit een maximum van 10. Het is van invloed op alle versies van de plug-in vóór 3.9.2.0.
“Deze kwetsbaarheid, een SQL-injectiefout (SQLi), vormt een ernstige bedreiging omdat aanvallers deze kunnen misbruiken om ongeoorloofde toegang tot websites te verkrijgen, gebruikersaccounts op beheerdersniveau aan te maken, kwaadaardige bestanden te uploaden en mogelijk de volledige controle over getroffen sites over te nemen”, zegt WPScan. zei deze week in een waarschuwing.
Volgens het bedrijf dat eigendom is van Automattic, is het probleem geworteld in het gebruikersauthenticatiemechanisme van de plug-in, dat triviaal kan worden omzeild door willekeurige SQL-query's op de database uit te voeren door middel van speciaal vervaardigde verzoeken.
Bij de tot nu toe waargenomen aanvallen wordt CVE-2024-27956 gebruikt om ongeautoriseerde databasequery's uit te voeren en nieuwe beheerdersaccounts aan te maken op gevoelige WordPress-sites (bijvoorbeeld namen die beginnen met “xtw”), die vervolgens kunnen worden gebruikt voor vervolgpost-aanvallen. exploitatie acties.
Dit omvat het installeren van plug-ins die het mogelijk maken om bestanden te uploaden of code te bewerken, wat aangeeft dat er pogingen zijn gedaan om de geïnfecteerde sites opnieuw als stagers te gebruiken.
“Zodra een WordPress-site is gecompromitteerd, zorgen aanvallers voor een lange levensduur van hun toegang door achterdeurtjes te creëren en de code te verdoezelen”, aldus WPScan. “Om detectie te omzeilen en de toegang te behouden, kunnen aanvallers het kwetsbare WP-Automatic-bestand ook hernoemen, waardoor het voor website-eigenaren of beveiligingstools moeilijk wordt om het probleem te identificeren of te blokkeren.”
Het bestand in kwestie is “/wp-content/plugins/wp-automatic/inc/csv.php”, dat hernoemd is naar iets als “wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php.”
Dat gezegd hebbende, is het mogelijk dat de bedreigingsactoren dit doen in een poging te voorkomen dat andere aanvallers misbruik maken van de sites die al onder hun controle staan.
CVE-2024-27956 werd op 13 maart 2024 openbaar gemaakt door WordPress-beveiligingsbedrijf Patchstack. Sindsdien zijn er meer dan 5,5 miljoen aanvalspogingen in het wild gedetecteerd om de fout te bewapenen.
De onthulling komt omdat er ernstige bugs zijn onthuld in plug-ins zoals Email Subscribers by Icegram Express (CVE-2024-2876, CVSS-score: 9,8), Forminator (CVE-2024-28890, CVSS-score: 9,8) en User Registration (CVE- 2024-2417, CVSS-score: 8,8) die kunnen worden gebruikt om gevoelige gegevens zoals wachtwoord-hashes uit de database te extraheren, willekeurige bestanden te uploaden en beheerdersrechten aan een authenticator-gebruiker te verlenen.
Patchstack heeft ook gewaarschuwd voor een niet-gepatcht probleem in de Poll Maker-plug-in (CVE-2024-32514, CVSS-score: 9,9) waarmee geauthenticeerde aanvallers, met toegang op abonneeniveau of hoger, willekeurige bestanden kunnen uploaden naar de server van de getroffen site, waardoor tot uitvoering van code op afstand.